NIS 2 Status in den Niederlanden
Die Niederlande setzen die EU-Richtlinie NIS 2 über die Cyberbeveiligingswet (Cbw) um. Das Gesetzgebungsverfahren ist verspätet. Niederländische Einrichtungen sollten heute parallel die EU-Ebene und den vorliegenden Cbw-Entwurf verfolgen.
Überblick
Rechtliche Grundlage ist die EU-Richtlinie NIS 2 (2022/2555). Sie definiert den europäischen Mindeststandard für Cybersicherheit. Die Niederlande schreiben diesen Mindeststandard in nationales Recht über die Cyberbeveiligingswet (Cbw). Die Cbw ersetzt das bisherige Wbni (Wet beveiliging netwerk- en informatiesystemen), das die NIS 1 Richtlinie umgesetzt hatte.
Die EU-Umsetzungsfrist vom 17. Oktober 2024 haben die Niederlande verfehlt, ebenso wie die meisten Mitgliedstaaten einschließlich Deutschlands. Der niederländische Gesetzesentwurf durchlief 2024 die öffentliche Konsultation, wurde 2025 in die Tweede Kamer eingebracht und soll voraussichtlich im Lauf des Jahres 2026 in Kraft treten. Die Kommission hat ein Vertragsverletzungsverfahren gegen die säumigen Mitgliedstaaten eröffnet.
Sobald die Cbw in Kraft tritt, gelten die Pflichten unmittelbar, ohne Übergangsfrist. Das entspricht dem deutschen Vorgehen mit dem BSIG. Zwei Bezugspunkte tragen heute schon: die EU-Richtlinie selbst und der veröffentlichte niederländische Entwurf. Beide gemeinsam dienen als Scoping-Grundlage.
EU-Richtlinie
Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2).
Regelt Risikomanagement-Maßnahmen (Art. 21), Meldepflichten (Art. 23), Verantwortung der Leitungsorgane (Art. 20) und Registrierungspflichten (Art. 27). Die Mitgliedstaaten müssen die Richtlinie umsetzen, dürfen das Schutzniveau aber nicht unterschreiten.
EU-Durchführungsverordnung
Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 (CIR).
Konkretisiert die Maßnahmen nach Art. 21 für digitale Infrastrukturen, DNS, Cloud-Anbieter, Rechenzentren, Content Delivery, Managed Service Provider und Online-Marktplätze. Gilt unmittelbar in den Niederlanden, ohne weitere nationale Umsetzung.
Niederländische Umsetzung
Cyberbeveiligingswet (Cbw), niederländischer Gesetzesentwurf im parlamentarischen Verfahren; das bisherige Wbni bleibt bis zum Inkrafttreten der Cbw in Kraft.
Die Cbw regelt Aufsicht und CSIRT-Zuständigkeiten, definiert wesentliche (essentiële) und wichtige (belangrijke) Einrichtungen, ergänzt nationale Besonderheiten wie Gebühren, Designationsverfahren und Sektorzuordnungen. Hier zitierte Cbw-Artikel beziehen sich auf den veröffentlichten Konsultationsentwurf und können sich bis zur Verabschiedung ändern.
Cyberbeveiligingswet (Cbw)
Setzt die Artikel 1 bis 41 der NIS 2 Richtlinie in niederländisches Recht um. Definiert wesentliche und wichtige Einrichtungen, regelt Aufsichtsbefugnisse, Bußgelder und Meldeverfahren und verweist auf die EU-Durchführungsverordnung.
RDI, Sektorbehörden, NCSC-NL
Die Rijksinspectie Digitale Infrastructuur (RDI) ist führende Aufsichtsbehörde für viele Sektoren, darunter digitale Infrastrukturen und die meisten digitalen Dienste. Sektorbehörden behalten ihre Zuständigkeit (zum Beispiel DNB für Banken, AFM für Finanzmärkte, ACM für Telekommunikation). NCSC-NL ist das nationale CSIRT.
EU-Frist verstrichen, Registrierung über niederländisches Portal
Der 17. Oktober 2024 verstrich ohne niederländische Umsetzung. Sobald die Cbw in Kraft tritt, müssen sich Einrichtungen bei der zuständigen Behörde registrieren und erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) melden, wie in Art. 23 NIS 2 vorgesehen.
Nationales Recht greift dort, wo die Tätigkeit liegt
Eine Einrichtung, die Dienste in den Niederlanden erbringt, unterliegt für diese Tätigkeit der niederländischen Aufsicht, auch wenn der Sitz woanders liegt. Die Regel zur Hauptniederlassung nach Art. 26 NIS 2 entscheidet, welcher Mitgliedstaat die federführende Aufsicht hat. Lokale Tätigkeit löst trotzdem Meldepflichten dort aus, wo der Vorfall stattfindet.
Die Richtlinie ist die Untergrenze, nicht die Obergrenze
Die Cbw darf NIS 2 nicht unterschreiten. Sie darf bei nationalen Besonderheiten strenger sein (Designationsverfahren, Gebühren, Sektorzuschnitte). Für Risikomanagement-Maßnahmen und Meldepflichten gelten die EU-Richtlinie und die Durchführungsverordnung inhaltlich. Die Cbw liefert das verfahrensrechtliche Gerüst.
Rijksinspectie Digitale Infrastructuur (RDI)
Federführende Aufsichtsbehörde für viele NIS 2 Sektoren in den Niederlanden, darunter digitale Infrastrukturen, IKT-Dienstemanagement, digitale Anbieter sowie weitere Sektoren aus Anhang I und II. Hervorgegangen aus dem Agentschap Telecom, dem Ministerium für Wirtschaft zugeordnet.
NCSC-NL (Nationaal Cyber Security Centrum)
Nationales CSIRT unter dem Ministerium für Justiz und Sicherheit. Empfängt Meldungen nach Art. 23, gibt Sektorwarnungen heraus und arbeitet mit ENISA und den nationalen CSIRTs zusammen. Die niederländische Regierung hat eine konsolidierte nationale Cybersicherheitsstelle angekündigt. Operativ ist heute das NCSC-NL das CSIRT.
ENISA
Veröffentlicht EU-weite Leitlinien und technische Umsetzungshinweise. Keine Aufsichtsbehörde für niederländische Einrichtungen, aber ihre Veröffentlichungen (zum Beispiel die Technical Implementation Guidance und das Mapping auf ISO 27001) sind der praktische Bezugsrahmen für den Nachweis der Maßnahmen nach Art. 21.
Die niederländische NIS 2 Umsetzung entspricht eins zu eins dem deutschen BSIG.
Beide setzen dieselbe Richtlinie um, die Texte unterscheiden sich aber. Die Niederlande behalten ein stärkeres Sektoraufsichtsmodell und nutzen die RDI als horizontale Aufsicht. Deutschland bündelt fast alles im BSI. Bußgeldhöhen, Registrierungsverfahren und Schulungspflichten der Leitungsorgane sind unterschiedlich formuliert. Die Cbw eigenständig lesen, nicht als Übersetzung des BSIG.
Es gibt in den Niederlanden noch keine Registrierungspflicht, wir können warten.
Art. 27 NIS 2 verpflichtet jeden Mitgliedstaat zur Führung eines Verzeichnisses, und die Einrichtungen zur Datenübermittlung. Die Niederlande betreiben einen Registrierungskanal über die zuständigen Behörden, sobald die Cbw in Kraft tritt. Die Zwei-Wochen-Aktualisierungsregel aus Art. 27(2) gilt EU-weit und bindet niederländische Einrichtungen ab dem Moment, in dem das Gesetz anwendbar wird.
Unsere Sektorbehörde regelt alles, die RDI ist für uns nicht relevant.
Sektorbehörden behalten ihre Zuständigkeit für Finanzen, Telekommunikation oder Gesundheit. Die RDI ist horizontale Cybersicherheitsaufsicht für mehrere Sektoren und Ansprechpartner für sektorübergreifende Fragen. Für DORA-Einrichtungen wirkt DORA als Lex specialis bei den Maßnahmen, die NIS 2 Registrierung nach Art. 27 gilt aber zusätzlich.
Die meisten niederländischen Einrichtungen im Anwendungsbereich wissen bereits, dass sie betroffen sind. Die offene Frage ist nicht das Ob, sondern wie die Cbw sie konkret zuordnet. Zwei Punkte wöchentlich verfolgen: den Stand des Cbw-Verfahrens in der Tweede Kamer und jede Sektorkommunikation der RDI, die Zeitpunkte oder Scoping klärt.
Operativ gelten vier Dauerpflichten schon heute auf EU-Ebene: Governance mit Verantwortung der Leitungsorgane (Art. 20), Risikomanagement-Maßnahmen (Art. 21), Meldepflichten innerhalb von 24 und 72 Stunden (Art. 23), Vorbereitung der Registrierung (Art. 27). Keine dieser vier Pflichten braucht das Inkrafttreten der Cbw, um nützlich umgesetzt zu werden.
Das Pflichtenregister der Plattform ist auf die EU-Richtlinie und die CIR verankert, mit nationaler Umsetzungsschicht darüber. Niederländische Einrichtungen starten heute auf der EU-Schicht und schalten die nationale Schicht auf Cbw um, sobald sie in Kraft tritt, ohne die zugrundeliegende Arbeit zu wiederholen.
Vorlagen zur Vorfallsmeldung folgen den Fristen aus Art. 23 (24 Stunden Frühwarnung, 72 Stunden vollständige Meldung). Lieferantenpflichten folgen Art. 21(2)(d) und §6 CIR, die in allen Mitgliedstaaten identisch gelten. Die niederländische Schicht regelt Behördenzuordnung, Sprachanforderungen und nationale Besonderheiten aus der Cbw.
- Richtlinie (EU) 2022/2555 (NIS 2), EUR-Lex, ABl. L 333 vom 27. Dezember 2022
- Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024
- Wetsvoorstel Cyberbeveiligingswet (Cbw), Konsultations- und Parlamentsunterlagen, internetconsultatie.nl
- Wbni, Wet beveiliging netwerk- en informatiesystemen (geltendes Recht, NIS 1 Umsetzung)
- Rijksinspectie Digitale Infrastructuur (RDI), rdi.nl, Aufsichtsinformationen NIS 2
- NCSC-NL, ncsc.nl, CSIRT- und Meldeleitlinien
- ENISA, NIS 2 Technical Implementation Guidance (v1.2, 2025)